As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Consultando o estado atual da configuração do AWS Recursos
| Apresentando um recurso de visualização para consultas avançadas que permite usar recursos de inteligência artificial generativa (IA generativa) para inserir solicitações em inglês simples e convertê-las em um formato de consulta. ready-to-use Para obter mais informações, consulte Natural language query processor for advanced queries. |
Você pode usar: AWS Config para consultar o estado atual da configuração do AWS recursos com base nas propriedades de configuração de uma única conta e região ou em várias contas e regiões. Você pode realizar consultas baseadas em propriedades em relação à atual AWS metadados do estado do recurso em uma lista de recursos que AWS Config suportes. Para obter mais informações sobre a lista de tipos de recursos compatíveis, consulte Supported Resource Types for Advanced Queries
As consultas avançadas fornecem um único ponto final de consulta e uma linguagem de consulta para obter os metadados atuais do estado do recurso sem realizar chamadas de descrição específicas do serviço. API Você pode usar agregadores de configuração para executar as mesmas consultas de uma conta central em várias contas e AWS Regiões.
Tópicos
- Recursos
- Componentes da consulta
- Consulta usando o Editor de SQL Consultas (Console)
- Consulta usando o Editor de SQL consultas (AWS CLI)
- Processador de consultas em linguagem natural para consultas avançadas
- Exemplos de consultas para AWS Config
- Exemplo de consultas de relacionamento para AWS Config
- Limitações
- Suporte regional
Recursos
AWS Config usa um subconjunto da SELECT sintaxe da linguagem de consulta estruturada (SQL) para realizar consultas e agregações baseadas em propriedades nos dados do item de configuração (CI) atual. As consultas variam em complexidade, desde correspondências com identificadores de tags e/ou recursos até consultas mais complexas, como a visualização de todos os buckets do Amazon S3 que têm o versionamento desativado. Isso permite que você consulte exatamente o estado atual do recurso que você precisa sem executar AWS chamadas específicas do serviçoAPI.
Ele oferece suporte a funções de agregação, como AVG, COUNT, MAX, MIN, e SUM.
Você pode usar as consultas avançadas para:
-
Gerenciamento de inventário; por exemplo, para recuperar uma lista de EC2 instâncias da Amazon de um tamanho específico.
-
Segurança e inteligência operacional, por exemplo, para recuperar uma lista de recursos que tenham uma propriedade de configuração específica habilitada ou desabilitada.
-
Otimização de custos; por exemplo, para identificar uma lista de EBS volumes da Amazon que não estão vinculados a nenhuma EC2 instância.
-
Dados de conformidade; por exemplo, recuperar uma lista de todos os seus pacotes de conformidade e seu status de conformidade.
Para obter informações sobre como usar o AWS SQLLinguagem de consulta, consulte O que é SQL (linguagem de consulta estruturada)?
Limitações
nota
A consulta avançada não oferece suporte à consulta de recursos que não foram configurados para serem registrados pelo gravador de configuração. AWS Config cria itens de configuração (CIs) configurationItemStatus quando um recurso é descoberto, mas não está configurado para ser registrado pelo gravador de configuração. ResourceNotRecorded Embora um agregador os agregueCIs, a consulta avançada não oferece suporte à consulta CIs com. ResourceNotRecorded Atualize as configurações do gravador para permitir a gravação dos tipos de recursos que você deseja consultar.
Como um subconjunto de SQLSELECT, a sintaxe da consulta tem as seguintes limitações:
-
Não há suporte para as palavras-chave
ALL,AS,DISTINCT,FROM,HAVING,JOINeUNIONem uma consulta. Não há suporte para consultas com valorNULL. -
Não há suporte para consultas de recursos de terceiros. Recursos de terceiros recuperados usando consultas avançadas terão o campo de configuração definido como
NULL. -
Não há suporte para que estruturas aninhadas (como tags) sejam descompactadas com SQL consultas.
-
CIDRa notação é convertida em intervalos de IP para pesquisa. Isso significa que
"="e"BETWEEN"faz a pesquisa de qualquer intervalo que inclua o IP fornecido, em vez de um exato. Para pesquisar um intervalo de IP exato, você precisa adicionar condições adicionais para excluir IPs fora do intervalo. Por exemplo, para pesquisar 10.0.0.0/24 e somente esse bloco de IP, você pode fazer:SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges BETWEEN '10.0.0.0' AND '10.0.0.255' AND NOT configuration.ipPermissions.ipRanges < '10.0.0.0' AND NOT configuration.ipPermissions.ipRanges > '10.0.0.255'Para 192.168.0.2/32, você pode pesquisar de forma semelhante:
SELECT * WHERE resourceType = 'AWS::EC2::SecurityGroup' AND configuration.ipPermissions.ipRanges = '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges > '192.168.0.2' AND NOT configuration.ipPermissions.ipRanges < '192.168.0.2' -
Ao consultar em relação a várias propriedades dentro de uma matriz de objetos, as correspondências são calculadas em relação a todos os elementos da matriz. Por exemplo, para um recurso R com as regras A e B, o recurso está em conformidade com a regra A, mas não está em conformidade com a regra B. O recurso R é armazenado como:
{ configRuleList: [ { configRuleName: 'A', complianceType: 'compliant' }, { configRuleName: 'B', complianceType: 'non_compliant' } ] }R será retornado por esta consulta:
SELECT configuration WHERE configuration.configRuleList.complianceType = 'non_compliant' AND configuration.configRuleList.configRuleName = 'A'A primeira condição
configuration.configRuleList.complianceType = 'non_compliant'é aplicada aos ALL elementos em R.configRuleList, porque R tem uma regra (regra B) com complianceType = 'non_compliant', a condição é avaliada como verdadeira. A segunda condiçãoconfiguration.configRuleList.configRuleNameé aplicada aos ALL elementos em R.configRuleList, porque R tem uma regra (regra A) com configRuleName = 'A', a condição é avaliada como verdadeira. Como ambas as condições são verdadeiras, R será retornado. -
A abreviação
SELECTde todas as colunas (ou seja,SELECT *) seleciona somente propriedades escalares de nível superior de um CI. As propriedades escalares retornadas sãoaccountId,awsRegion,arn,availabilityZone,configurationItemCaptureTime,resourceCreationTime,resourceId,resourceName,resourceType, eversion. -
Limitações curinga:
-
Curingas têm suporte somente para valores de propriedade e não para chaves de propriedade (por exemplo,
...WHERE someKey LIKE 'someValue%'tem suporte, mas...WHERE 'someKey%' LIKE 'someValue%'não). -
Suporte somente para sufixos curingas (por exemplo,
...LIKE 'AWS::EC2::%'e...LIKE 'AWS::EC2::_'tem suporte, mas...LIKE '%::EC2::Instance'e...LIKE '_::EC2::Instance'não). -
As correspondências que envolvem curingas devem ter pelo menos três caracteres (por exemplo,
...LIKE 'ab%'e...LIKE 'ab_'não é permitido, mas...LIKE 'abc%'e...LIKE 'abc_'é permitido).
nota
O "
_" (sublinhado único) também é tratado como um curinga. -
-
Limitações de agregação:
-
As funções agregadas podem aceitar somente um único argumento ou propriedade.
-
As funções agregadas não podem tomar outras funções como argumentos.
-
GROUP BYcom uma cláusulaORDER BYque faz referência às funções agregadas pode conter somente uma única propriedade. -
Para todas as outras agregações, as cláusulas
GROUP BYpodem conter até três propriedades. -
A paginação é compatível com todas as consultas agregadas, exceto quando a cláusula
ORDER BYtem uma função agregada. Por exemplo,GROUP BY X, ORDER BY Ynão funciona seYfor uma função agregada. -
Não há suporte para cláusulas
HAVINGnas agregações.
-
-
Limitações de identificadores incompatíveis:
Identificadores incompatíveis são propriedades que têm a mesma grafia, mas com capitalização diferente (letras maiúsculas e minúsculas). A consulta avançada não oferece suporte ao processamento de consultas que contêm identificadores incompatíveis. Por exemplo:
-
Duas propriedades que têm exatamente a mesma grafia, mas com letras maiúsculas e minúsculas diferentes (
configuration.dbclusterIdentifiereconfiguration.dBClusterIdentifier). -
Duas propriedades em que uma propriedade é um subconjunto da outra e elas têm letras maiúsculas e minúsculas diferentes (
configuration.ipAddresseconfiguration.ipaddressPermissions).
-
Suporte regional
As consultas avançadas têm suporte nas seguintes regiões:
| Nome da região | Região | Endpoint | Protocolo |
|---|---|---|---|
| Leste dos EUA (Ohio) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| Oeste dos EUA (Oregon) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| África (Cidade do Cabo) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| Ásia-Pacífico (Mumbai) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| Ásia-Pacífico (Seul) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| Canadá (Central) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| Oeste do Canadá (Calgary) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| Europa (Frankfurt) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| Europa (Irlanda) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| Europa (Londres) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| Europa (Milão) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| Europa (Paris) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| Europa (Espanha) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| Europa (Estocolmo) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| Europa (Zurique) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| Israel (Tel Aviv) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| Oriente Médio (Barém) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| Oriente Médio (UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| América do Sul (São Paulo) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
